Bonnes pratiques en matière de politiques Utilisation de la console Amazon Chime Permettre aux utilisateurs un accès complet à Amazon Chime Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations Autorisation des utilisateurs à accéder aux actions de gestion des utilisateurs AWS politique gérée : AmazonChimeVoiceConnectorServiceLinkedRolePolicy Amazon Chime met à jour les politiques gérées AWS

Vous devez être un administrateur système Amazon Chime pour effectuer les étapes décrites dans ce guide. Si vous avez besoin d'aide concernant le client de bureau, l'application Web ou l'application mobile Amazon Chime, consultez la section Obtenir de l'aide dans le guide de l'utilisateur Amazon Chime.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques basées sur l'identité Amazon Chime

Par défaut, IAM les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier des ressources Amazon Chime. Ils ne peuvent pas non plus effectuer de tâches à l'aide du AWS Management Console AWS CLI, ou AWS API. Un IAM administrateur doit créer des IAM politiques qui accordent aux utilisateurs et aux rôles l'autorisation d'effectuer des API opérations spécifiques sur les ressources spécifiques dont ils ont besoin. L'administrateur doit ensuite associer ces politiques aux IAM utilisateurs ou aux groupes qui ont besoin de ces autorisations.

Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, voir Création de politiques dans l'JSONonglet du Guide de l'IAMutilisateur.

Rubriques

Bonnes pratiques en matière de politiques
Utilisation de la console Amazon Chime
Permettre aux utilisateurs un accès complet à Amazon Chime
Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Autorisation des utilisateurs à accéder aux actions de gestion des utilisateurs
AWS politique gérée : AmazonChimeVoiceConnectorServiceLinkedRolePolicy
Amazon Chime met à jour les politiques gérées AWS

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources Amazon Chime dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :

Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d'informations, consultez les politiques AWS gérées ou les politiques AWS gérées pour les fonctions professionnelles dans le Guide de IAM l'utilisateur.
Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations IAM dans le guide de IAM l'utilisateur.
Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.
Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles soient conformes au langage des IAM politiques (JSON) et IAM aux meilleures pratiques. IAMAccess Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Validation des politiques d'IAMAccess Analyzer dans le guide de IAM l'utilisateur.
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des IAM utilisateurs ou un utilisateur root Compte AWS, activez-le MFA pour une sécurité supplémentaire. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section Configuration de l'APIaccès MFA protégé dans le Guide de l'IAMutilisateur.

Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.

Utilisation de la console Amazon Chime

Pour accéder à la console Amazon Chime, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les informations relatives aux ressources Amazon Chime de votre AWS compte. Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (IAMutilisateurs ou rôles) dotées de cette politique.

Pour garantir que ces entités peuvent toujours utiliser la console Amazon Chime, associez également la AmazonChimeReadOnlypolitique AWS gérée suivante aux entités. Pour plus d'informations, consultez la section Ajouter des autorisations à un utilisateur dans le Guide de IAM l'utilisateur :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:List*",
                "chime:Get*",
                "chime:SearchAvailablePhoneNumbers"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui passent des appels uniquement vers le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération que vous essayez d'effectuer.

Permettre aux utilisateurs un accès complet à Amazon Chime

La AmazonChimeFullAccesspolitique AWS gérée suivante accorde à IAM l'utilisateur un accès complet aux ressources Amazon Chime. La politique donne à l'utilisateur l'accès à toutes les opérations Amazon Chime, ainsi qu'à d'autres opérations qu'Amazon Chime doit être en mesure d'effectuer en votre nom.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketWebsite"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:GetLogDelivery",
                "logs:ListLogDeliveries",
                "logs:DescribeResourcePolicies",
                "logs:PutResourcePolicy",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:CreateTopic",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "arn:aws:sns:*:*:ChimeVoiceConnector-Streaming*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sqs:GetQueueAttributes",
                "sqs:CreateQueue"
            ],
            "Resource": [
                "arn:aws:sqs:*:*:ChimeVoiceConnector-Streaming*"
            ]
        }
    ]
}

Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

Cet exemple montre comment créer une politique qui permet aux IAM utilisateurs de consulter les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du AWS CLI ou. AWS API


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Autorisation des utilisateurs à accéder aux actions de gestion des utilisateurs

Utilisez la AmazonChimeUserManagementpolitique AWS gérée pour autoriser les utilisateurs à accéder aux actions de gestion des utilisateurs dans la console Amazon Chime.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "chime:ListAccounts",
                "chime:GetAccount",
                "chime:GetAccountSettings",
                "chime:UpdateAccountSettings",
                "chime:ListUsers",
                "chime:GetUser",
                "chime:GetUserByEmail",
                "chime:InviteUsers",
                "chime:InviteUsersFromProvider",
                "chime:SuspendUsers",
                "chime:ActivateUsers",
                "chime:UpdateUserLicenses",
                "chime:ResetPersonalPIN",
                "chime:LogoutUser",
                "chime:ListDomains",
                "chime:GetDomain",
                "chime:ListDirectories",
                "chime:ListGroups",
                "chime:SubmitSupportRequest",
                "chime:ListDelegates",
                "chime:ListAccountUsageReportData",
                "chime:GetMeetingDetail",
                "chime:ListMeetingEvents",
                "chime:ListMeetingsReportData",
                "chime:GetUserActivityReportData",
                "chime:UpdateUser",
                "chime:BatchUpdateUser",
                "chime:BatchSuspendUser",
                "chime:BatchUnsuspendUser",
                "chime:AssociatePhoneNumberWithUser",
                "chime:DisassociatePhoneNumberFromUser",
                "chime:GetPhoneNumber",
                "chime:ListPhoneNumbers",
                "chime:GetUserSettings",
                "chime:UpdateUserSettings",
                "chime:CreateUser",
                "chime:AssociateSigninDelegateGroupsWithAccount",
                "chime:DisassociateSigninDelegateGroupsFromAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS politique gérée : AmazonChimeVoiceConnectorServiceLinkedRolePolicy

AmazonChimeVoiceConnectorServiceLinkedRolePolicyCela permet aux connecteurs vocaux Amazon Chime de diffuser du contenu multimédia sur Amazon Kinesis Video Streams, de fournir des notifications de streaming et de synthétiser la parole à l'aide d'Amazon Polly. Cette politique accorde au service Amazon Chime Voice Connector l'autorisation d'accéder aux Amazon Kinesis Video Streams du client, d'envoyer des événements de notification à Amazon Simple Notification Service et Amazon Simple Queue Service, et d'utiliser Amazon Polly pour synthétiser la parole lors de l'utilisation des applications et actions Amazon Chime Voice. SDK Speak SpeakAndGetDigits Pour plus d'informations, consultez les exemples de politiques SDK basées sur l'identité Amazon Chime dans le manuel Amazon Chime Administrator Guide. SDK

Amazon Chime met à jour les politiques gérées AWS

Le tableau suivant répertorie et décrit les mises à jour apportées à la politique Amazon Chime. IAM

Modification	Description	Date
`AmazonChimeVoiceConnectorServiceLinkedRolePolicy` – Mise à jour d’une stratégie existante	Amazon Chime Voice Connectors a ajouté de nouvelles autorisations pour vous permettre d'utiliser Amazon Polly pour synthétiser la parole. Ces autorisations sont requises pour utiliser les `Speak` actions `SpeakAndGetDigits` et dans les applications vocales Amazon Chime. SDK	15 mars 2022
`AmazonChimeVoiceConnectorServiceLinkedRolePolicy` – Mise à jour d’une politique existante	Amazon Chime Voice Connector a ajouté de nouvelles autorisations pour autoriser l'accès à Amazon Kinesis Video Streams et envoyer des événements de notification à et. SNS SQS Ces autorisations sont requises pour que les connecteurs Amazon Chime Voice puissent diffuser du contenu multimédia sur Amazon Kinesis Video Streams et fournir des notifications de diffusion.	20 décembre 2021
Modification de la politique existante. Création d'IAMutilisateurs ou de rôles avec la SDK politique Chime.	Amazon Chime a ajouté de nouvelles actions pour prendre en charge la validation étendue. Un certain nombre d'actions ont été ajoutées pour permettre de répertorier et de baliser les participants et les ressources de la réunion, ainsi que pour démarrer et arrêter la transcription de la réunion.	23 septembre 2021
Amazon Chime a commencé à suivre les modifications	Amazon Chime a commencé à suivre les modifications apportées à ses politiques AWS gérées.	23 septembre 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Prévention du problème de l’adjoint confus entre services

Résolution des problèmes